Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tema 7: Memusatkan logging dan monitoring
**Esensi Delapan strategi tercakup**
Kontrol aplikasi, aplikasi tambalan, batasi hak administratif, otentikasi multi-faktor
AWS menyediakan alat dan fitur yang memungkinkan Anda untuk melihat apa yang terjadi di AWS lingkungan Anda. Ini termasuk:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)membantu Anda memantau AWS penerapan Anda dengan membuat jejak historis panggilan AWS API untuk akun Anda, termasuk panggilan API yang dilakukan melalui Konsol Manajemen AWS, AWS SDKs, dan alat baris perintah. Untuk layanan yang mendukung CloudTrail, Anda juga dapat mengidentifikasi pengguna dan akun mana yang disebut API layanan, alamat IP sumber tempat panggilan dibuat, dan kapan panggilan terjadi.
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) membantu Anda memusatkan log dari semua sistem, aplikasi, Layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) adalah layanan pemantauan keamanan berkelanjutan yang menganalisis dan memproses log untuk mengidentifikasi aktivitas tak terduga dan berpotensi tidak sah di lingkungan Anda AWS . GuardDuty terintegrasi dengan Amazon EventBridge untuk memulai respons otomatis atau memberi tahu manusia.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)memberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.
Alat dan fitur ini dirancang untuk meningkatkan visibilitas dan membantu Anda mengatasi masalah sebelum berdampak negatif pada lingkungan Anda. Ini membantu Anda meningkatkan postur keamanan organisasi Anda di cloud dan mengurangi profil risiko lingkungan Anda.
## Praktik terbaik terkait dalam Kerangka AWS Well-Architected
+ [SEC04- BP01 Konfigurasikan layanan dan pencatatan aplikasi](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
+ [SEC04- BP02 Tangkap log, temuan, dan metrik di lokasi standar](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)
## Menerapkan tema ini
### Mengaktifkan pencatatan
+ [Gunakan CloudWatch agen untuk mempublikasikan log tingkat sistem ke Log CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ [Siapkan peringatan untuk temuan GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#setup-sns)
+ [Buat jejak organisasi di CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
### Menerapkan praktik terbaik keamanan logging
+ [Menerapkan praktik terbaik CloudTrail keamanan](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Gunakan SCPs untuk mencegah pengguna menonaktifkan layanan keamanan](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (AWS posting blog)
+ [Enkripsi data log di CloudWatch Log dengan menggunakan AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)
### Memusatkan log
+ [Menerima CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Kirim log ke akun arsip log](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
+ [Sentralisasi CloudWatch Log dalam akun untuk audit dan analisis](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/) (AWS posting blog)
+ [Memusatkan manajemen Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
+ [Buat agregator seluruh organisasi di AWS Config(posting blog](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html))AWS
+ [Memusatkan manajemen Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
+ [Memusatkan manajemen GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ [Pertimbangkan untuk menggunakan Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)
## Memantau tema ini
### Menerapkan mekanisme
+ Menetapkan mekanisme untuk meninjau temuan log
+ Menetapkan mekanisme untuk meninjau temuan CSPM Security Hub
+ Menetapkan mekanisme untuk menanggapi GuardDuty temuan
### Menerapkan AWS Config aturan berikut
+ `CLOUDTRAIL_SECURITY_TRAIL_ENABLED`
+ `GUARDDUTY_ENABLED_CENTRALIZED`
+ `SECURITYHUB_ENABLED`
+ `ACCOUNT_PART_OF_ORGANIZATIONS`